 |
Security&Trust トレンド解説
脅威に対して自動的に防衛するネットワーク
鈴木淳也(Junya Suzuki)
2005/5/31
 |
SDNの3つのフェイズ |
シスコのSDNは、システムの構成規模に応じて3つのフェイズが用意されている。フェイズが進むほど大掛かりになるため、ユーザーが順番にフェイズを追って導入していくための目安のように思えるが、実際にはシスコが製品をリリースするタイミングを示すもののようだ。
現在、同社ではフェイズ2.5の段階まで製品が出そろっていると表明しており、間もなく「フェイズ3」構築に必要な製品が登場する形になるという。シスコの大木聡氏によれば、ユーザーが導入段階にこだわる必要はなく、実際にフェイズ3の製品が出そろってからシステム導入を考えているというユーザーも多いようだ。
各フェイズの役割は次のようになる。
●フェイズ1
個々の機器におけるセキュリティ機能を強化する。最も基本的なSDNの構築要件。
●フェイズ2(Collaborative Security)
機器間の連携でセキュリティを高め、エンド・ツー・エンドでのセキュリティポリシーを実現する。連携するのはハードウェアだけではなく、ソフトウェア製品も含んでいる。
例えば、ウイルス対策ベンダが提供するウイルス対策/パーソナルファイアウォール製品とシスコのネットワーク機器が連携し、接続前にポリシーの適合チェックを行い、合格した段階で初めて接続許可を与えるといったことが可能になる。シスコがソフトウェアベンダ各社との提携を発表したCisco NAC(Network Admission Control)は、このフェイズ2に該当するものである。
●フェイズ3(ATD:Adaptive Thread Defense)
比較的受身なフェイズ2に対し、フェイズ3ではより積極的にネットワークを監視し、攻撃の兆候があった段階でネットワークを遮断、ウイルスなどの拡散を防ぐ。これにより、アプリケーションの保護はもとより、ウイルス/ワーム、スパイウェアといったマルウェア(Mal-Ware)と呼ばれる悪意を持った攻撃プログラムやその変異体であるバリアントの攻撃を事前に察知して無効化することができる。
シスコでは2005年2月に「IPS(Intrusion Prevention System)」という事前防衛型のソリューションを発表しており、これがフェイズ3のベースの1つとなっている。
このように、SDNは3つのフェイズで分かれているが、実際にシステムとして本格的に機能するのはフェイズ2以降である。フェイズ2では、NAC対応のウイルス対策/パーソナルファイアウォール製品と連携することで、脅威がネットワークに持ち込まれることを防止し、必要に応じて能動的にネットワークをシャットダウンできる。
こうした機能の実現には、認証サーバの導入のほか、スイッチ/ルータといったネットワーク機器にアクティブにVLANの構成を変えられる機構がついていなければならず、かつそれが認証サーバや隣接する機器同士で連携する必要がある。対応する機器が多ければ多いほど、ネットワークの細かい制御が可能となる。機器の買い替えが必要になるケースも想定され、フェイズ2の導入は1つのハードルといえるかもしれない。
フェイズ3のATDでは、フェイズ2にさらに高度な検知機能を導入し、ネットワークが能動的に問題を発見・対処するという、まさにコンセプトどおりの「Self Defending Network(自己防衛型ネットワーク)」実現を目指している。
具体的には、ネットワーク上を流れるパケットのペイロード(データ)部を検査し、アプリケーション層に隠れているウイルスを発見する。さらにネットワーク全体のトラフィックを検査することで、DDoS(サービス拒否)攻撃の兆候などを発見し、未然に対処することが可能となる。
ATDにおけるポイントの1つは「相関分析(Correlation)」と呼ばれるもので、サーバに連続アクセスを行って単にトラフィックが重くなっているだけの状態と、実際にDDoS攻撃につながる多重アクセスとをいかに見分けるかという点にある。もし前者のようなアクセスで逐次ネットワークが遮断されているようでは、システムとして使い物にはならない。通常時のトラフィック状況を記録しておき、真に変化が起きたときに対処する仕組みを用意する必要がある。フェイズ1〜2が比較的ハードウェア寄りのアプローチであるとすれば、フェイズ3はよりソフトウェア的なソリューションであるともいえる。
 |
| SDNの基本動作の概念図。社内LAN上にあるリソースにアクセスする前に、必ずポリシーの検証が行われる。許可が出るまで、LAN上のスイッチやルータは当該マシンの通信を遮断する |
 |
2/3 |
|
| Index | |
| 脅威に対して自動的に防衛するネットワーク | |
| Page1 なぜSDNが必要になるか? |
|
 |
Page2 SDNの3つのフェイズ |
| Page3 ウイルス/ワームを防御する「Cisco NAC」 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
